HTTP 洪水攻擊是一種大規(guī)模分布式拒絕服務(wù) (DDoS) 攻擊，旨在利用 HTTP 請(qǐng)求使目標(biāo)服務(wù)器不堪重負(fù)。目標(biāo)因請(qǐng)求而達(dá)到飽和，且無(wú)法響應(yīng)正常流量后，將出現(xiàn)拒絕服務(wù)，拒絕來(lái)自實(shí)際用戶的其他請(qǐng)求。

HTTP 洪水攻擊的工作原理

HTTP 洪水攻擊是“第 7 層”DDoS 攻擊的一種。第 7 層是 OSI 模型的應(yīng)用程序?qū)樱傅氖?HTTP 等互聯(lián)網(wǎng)協(xié)議。HTTP 是基于瀏覽器的互聯(lián)網(wǎng)請(qǐng)求的基礎(chǔ)，通常用于加載網(wǎng)頁(yè)或通過(guò)互聯(lián)網(wǎng)發(fā)送表單內(nèi)容。緩解應(yīng)用程序?qū)庸籼貏e復(fù)雜，因?yàn)閻阂饬髁亢驼Ａ髁亢茈y區(qū)分。

為了獲得最大效率，惡意行為者通常會(huì)利用或創(chuàng)建僵尸網(wǎng)絡(luò)，以最大程度地?cái)U(kuò)大攻擊的影響。通過(guò)利用感染了惡意軟件的多臺(tái)設(shè)備，攻擊者可以發(fā)起大量攻擊流量來(lái)進(jìn)行攻擊。

HTTP 洪水攻擊有兩種：

1. HTTP GET 攻擊 – 在這種攻擊形式下，多臺(tái)計(jì)算機(jī)或其他設(shè)備相互協(xié)調(diào)，向目標(biāo)服務(wù)器發(fā)送對(duì)圖像、文件或其他資產(chǎn)的多個(gè)請(qǐng)求。當(dāng)目標(biāo)被傳入的請(qǐng)求和響應(yīng)所淹沒(méi)時(shí)，來(lái)自正常流量源的其他請(qǐng)求將被拒絕服務(wù)。
2. HTTP POST 攻擊 – 一般而言，在網(wǎng)站上提交表單時(shí)，服務(wù)器必須處理傳入的請(qǐng)求并將數(shù)據(jù)推送到持久層（通常是數(shù)據(jù)庫(kù)）。與發(fā)送 POST 請(qǐng)求所需的處理能力和帶寬相比，處理表單數(shù)據(jù)和運(yùn)行必要數(shù)據(jù)庫(kù)命令的過(guò)程相對(duì)密集。這種攻擊利用相對(duì)資源消耗的差異，直接向目標(biāo)服務(wù)器發(fā)送許多 POST 請(qǐng)求，直到目標(biāo)服務(wù)器的容量飽和并拒絕服務(wù)為止。

如何防護(hù) HTTP 洪水攻擊？

如前所述，緩解第 7 層攻擊非常復(fù)雜，而且通常要從多方面進(jìn)行。一種方法是對(duì)發(fā)出請(qǐng)求的設(shè)備實(shí)施質(zhì)詢，以測(cè)試它是否是機(jī)器人，這與在線創(chuàng)建帳戶時(shí)常用的 CAPTCHA 測(cè)試非常相似。通過(guò)提出 JavaScript 計(jì)算挑戰(zhàn)之類的要求，可以緩解許多攻擊。

其他阻止 HTTP 洪水攻擊的途徑包括使用?Web 應(yīng)用程序防火墻 (WAF)、管理 IP 信譽(yù)數(shù)據(jù)庫(kù)以跟蹤和有選擇地阻止惡意流量，以及由工程師進(jìn)行動(dòng)態(tài)分析。

目前，國(guó)內(nèi)互聯(lián)網(wǎng)公司很多都提供HTTP 洪水攻擊防御服務(wù)，比如百度云加速CDN就提供這類防御服務(wù)，如有需要的可以咨詢主機(jī)吧。